mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
38 lines
2.3 KiB
Markdown
38 lines
2.3 KiB
Markdown
# Аналіз дампа пам'яті
|
||
|
||
{{#include ../../../banners/hacktricks-training.md}}
|
||
|
||
## Початок
|
||
|
||
Почніть **шукати** **шкідливе ПЗ** всередині pcap. Використовуйте **інструменти**, згадані в [**Аналізі шкідливого ПЗ**](../malware-analysis.md).
|
||
|
||
## [Volatility](volatility-cheatsheet.md)
|
||
|
||
**Volatility є основною відкритою платформою для аналізу дампів пам'яті**. Цей інструмент на Python аналізує дампи з зовнішніх джерел або віртуальних машин VMware, ідентифікуючи дані, такі як процеси та паролі, на основі профілю ОС дампа. Він розширюється за допомогою плагінів, що робить його дуже універсальним для судово-медичних розслідувань.
|
||
|
||
[**Знайдіть тут шпаргалку**](volatility-cheatsheet.md)
|
||
|
||
## Звіт про аварійний міні-дамп
|
||
|
||
Коли дамп малий (всього кілька КБ, можливо, кілька МБ), то це, ймовірно, звіт про аварійний міні-дамп, а не дамп пам'яті.
|
||
|
||
.png>)
|
||
|
||
Якщо у вас встановлений Visual Studio, ви можете відкрити цей файл і прив'язати деяку базову інформацію, таку як назва процесу, архітектура, інформація про виключення та модулі, що виконуються:
|
||
|
||
.png>)
|
||
|
||
Ви також можете завантажити виключення та переглянути декомпільовані інструкції
|
||
|
||
.png>)
|
||
|
||
.png>)
|
||
|
||
У будь-якому випадку, Visual Studio не є найкращим інструментом для проведення глибокого аналізу дампа.
|
||
|
||
Вам слід **відкрити** його за допомогою **IDA** або **Radare** для детального огляду.
|
||
|
||
|
||
|
||
{{#include ../../../banners/hacktricks-training.md}}
|